もううんざりな「流行りの脆弱性」があるのか確認しながら

Androidの記事を眺めていると

海外のエントリソースに群がって

国内各メディアがさらに書き立てて

さらに私らがそれに群がり書きなぐる.

てな雰囲気でいつもAndroidと仲良しな「脆弱性」.

最近の2つについて,

チェックできるアプリがあるのでやってみました.

最近、セキュリティ研究者によってAndroid内蔵のメディアプレーヤー、Stagefrightに関わる一連の深刻な脆弱性が検出され、世界中のほぼすべてのAndroid端末が影響を受けることが明らかになりました。このStagefrightの脆弱性が攻撃者によって悪用されると、被害者にエクスプロイトを仕込んだマルチメディアメッセージ(MMS)を送信し遠隔操作によって端末からデータを搾取されるという深刻なセキュリティ問題が生じる恐れがあります。

Androidユーザー必読:Androidで新たな脆弱性「Stagefright 」を検出 | LOOKOUT ブログ

Stagefright Detector - Google Play の Android アプリ

20150810-143114

「Stagefright」はメディアプレイヤーフレームワークにまつわる脆弱性でしたが、Check Pointが報告した「Certifi-gate」は端末メーカーやネットワークサービスプロバイダーが用いるモバイル遠隔サポートツール(mRST)に関する脆弱性です。

mRSTは、サードパーティによるシステムレベルのプラグインと組み合わせることによって、端末の画面は現在どうなっているのかを把握したり、対象端末を遠隔で操作したりすることができるツールで、ユーザーから問い合わせを受けたときに、サポート担当者が遠隔で端末を操作することにより問題を解消するためのものです。しかし、mRSTには文字入力やアプリのインストールなどの特権があるので、悪用されるとユーザーの個人情報を盗まれたり、本来は端末の利用者でなければできない操作を行われる恐れがあります。

数百万台のAndroid端末が被害を受けうる脆弱性「Certifi-gate」の存在が明らかに - GIGAZINE

Certifi-gate Scanner - Google Play の Android アプリ

20150810-143045

と, あたしの場合は, 大丈夫なようですが,

多分, 今回のこの2つの脆弱性は,

大丈夫でなく晒されっぱなしの状態の端末も

今現在, 結構あるのだろうと思います.

正直, これらチェックアプリの判定で

「脆弱性あります!! 危険です!!」

といわれても, もう何もしない人のほうが多いような気がします.

そんなことはないか, 注意はしてるよな 注意は.


JSON を 整形して見やすく コマンドラインで

インデントを入れて整形する場合. コマンドラインにて.

$ cat admob.json | python -m json.tool
{
   "client" : [
      {
         "services" : {
            "ads_service" : {
               "test_banner_ad_unit_id" : "ca-app-pub-39402609994544/630097811",
               "status" : 2,
               "test_interstitial_ad_unit_id" : "ca-app-pub-39402609994544/630097811"
            }
         },
         "client_info" : {
            "client_id" : "android:com.google.samples.quickstart.admobexample",
            "android_client_info" : {
               "package_name" : "com.google.samples.quickstart.admobexample"
            },
            "client_type" : 1
         },
         "oauth_client" : []
      }
   ],
   "project_info" : {
      "project_number" : "",
      "project_id" : "",
      "name" : ""
   }
}

unix - How can I pretty-print JSON? - Stack Overflow

jq というのはカラーリングされる.

$ brew install jq

jq

jq Manual


W/Resources﹕ Converting to string: TypedValue が連発

端末によって連発されることがある.

converting_to_string

W/Resources﹕ Converting to string: TypedValue

ログのフィルタを設定しなければいけないのか,

なにか記述が何か正しくないのか厳格に?

実際のアプリの挙動はおかしくないように見えているが.

Try going into developer options on the phone and uncheck the box for "Enable view attribute inspection"

Ah, good deal. This is expected behavior for view attribute inspection. You'll want to keep it off unless you're actually using the feature in hierarchyviewer as it degrades layout inflation performance.

Issue 78322 - android - Resources﹕ Converting to string: TypedValue - Android Open Source Project - Issue Tracker - Google Project Hosting

「開発者向けオプション」-「表示属性検査を有効にする」をOFFにすると消える.

20150719-011716

開発者オプションのなかに「表示属性検査を有効にする」という不思議な項目があります。これは英語表記のほうがわかりやすいかもしれません。英語では「Enable view attribute inspection」、Viewクラスの属性情報を監査するという意味だと思いますが、直訳したのでしょう。
利用には、チェックボックスを有効にしてから、Android Studio(またはEclipse)のAndroid Device Monitorから「Dump View Hierarchy for UI Automator」を選択します。

View Hierarchyでは、Viewの階層構造をダンプして構造やViewのもつ属性値を視覚化します。Viewの入れ子を減らすことはパフォーマンスに貢献するほか、現在のViewに何が設定されているか、その場でチェックできます。

Android 5.0 Lollipopの開発者オプション詳細解説 | TechBooster | Tech Booster

とりあえず今は, 「Dump View Hierarchy for UI Automator」を使う時だけONにする, と.